7月29日，趋势科技发布了一份报告，揭露了在Google Play应用商店内的一系列银行类恶意软件活动。 报告主要分析了17款伪装成生产力工具和实用应用程序的滴管应用程序，它们被统称为DawDropper。根据报告描述，这17款应用包括了文档扫描仪、VPN 服务、二维码阅读器和通话记录器等多种类型，共携带了四个银行木马系列，包括 Octo、Hydra、Ermac和TeaBot。它们都使用第三方云服务 Firebase Realtime Database 来逃避检测并动态获取有效载荷下载地址，并在 GitHub 上托管恶意有效载荷。 2021 年 3 月，趋势科技还发现了另一个名为Clast82的dropper，DawDropper 和 Clast82 都使用 Firebase 实时数据库作为 C&C 服务器。 研究人员指出，这类银行Drop恶意软件采用自己的分发和安装技术。比如在今年年初就观察到了带有硬编码的有效载荷下载地址的版本，而最新观察到版本能隐藏实际有效载荷的下载地址，有时还使用第三方服务作为其 C&C 服务器。 截至报告发布时，这些恶意应用程序已从 Google Play 中移除。但报告指出，网络犯罪分子一直在寻找逃避检测和感染尽可能多设备的方法。在半年的时间里已经看到银行木马如何改进其技术以避免被检测，例如将恶意负载隐藏在 Dropper 中。随着越来越多的银行木马通过 DaaS 提供，攻击者将有一种更简单、更经济高效的方式来分发伪装成合法应用程序的恶意软件。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340693.html 封面来源于网络，如有侵权请联系删除

谷歌在本周周三表示，它再次将暂缓禁用Chrome网络浏览器中的第三方cookies的计划，该计划将会从2023年底推迟到2024年的下半年。 隐私沙盒项目的副总裁Anthony Chavez对外称他们收到大量反馈是需要更多时间来进行新隐私沙盒技术的评估和测试，之后再进行对Chrome浏览器中的第三方cookies的废弃和禁用。考虑到这一点，Anthony Chavez表示，谷歌正在采取一种 “审慎的方法”，在逐步淘汰第三方cookies之前，延长其正在进行的隐私沙盒举措的测试窗口。 Cookies是在访问网站时，网络浏览器在用户的电脑或其他设备上植入的数据，第三方cookies为大部分数字广告生态系统及其在不同网站上跟踪用户以显示目标广告的能力提供动力。隐私沙盒则是谷歌对一系列技术的总称，这些技术旨在通过限制跨网站和跨应用程序的追踪，并提供改进的、更安全的替代方案来提供基于兴趣的广告，从而改善用户在网络和安卓上的隐私。 虽然谷歌最初计划在2022年初推出隐私沙盒功能，但它在2021年6月修改了该计划，将第三方cookies过渡的三个月时期，定为2023年中期至2023年底，谷歌当时就已经指出整个生态系统需要更多的时间来完成。 第二个扩展是谷歌在2022年1月宣布主题API作为FLoC（Federated Learning of Cohorts的缩写）的替代品，随后在5月发布了Android的隐私沙盒的开发者预览。 2022年2月，英国竞争和市场管理局（CMA）正式接受了谷歌关于如何开发该技术的承诺，指出需要充实隐私沙盒，使其促进竞争，支持出版商从广告中获得收入，同时也保障消费者的隐私。 根据新的计划，隐私沙盒试验预计将在下个月扩大到全球用户，在今年余下时间和2023年，纳入测试的用户数量将不断增加。谷歌还强调，用户将看到一个提示，以管理他们的参与，并补充说，它打算在2023年第三季度前普遍提供API，第三方cookie支持暂定在2024年下半年禁用。CMA方面今天承认，它知道 “第三方正在开发的替代建议”，并且它 “正在与信息专员办公室合作，以更好地了解其可行性和可能的影响”。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340535.html 封面来源于网络，如有侵权请联系删除

专家们于当地时间周三告诉美国众议院情报委员会，政府和科技行业必须合作以保护美国公民不被像Pegasus这样的商业间谍软件盯上。该软件于去年被揭露感染了许多政府官员、人权活动家、记者和其他人的iPhone。 在这场罕见的公开听证会上，委员会听取了公民实验室高级研究员John Scott-Railton、Google威胁分析小组主任Shane Huntley和Carine Kanimba的证词，后者是一名活动人士，其手机被PegASUS间谍软件锁定。 Kanimba是人权活动家Paul Rusesabagina的女儿，他在卢旺达种族灭绝期间为拯救1000多名难民的生命所做的努力被记录在了电影《卢旺达旅馆》中。他是该国政府的公开反对者，去年在他的家人所说的虚假审判之后，他被判定为跟恐怖主义有关的指控并被监禁在卢旺达。美国政府认为Rusesabagina遭到了错误的拘留。 正在努力使其父亲获得自由的Kanimba表示，去年她被一群记者提醒她的手机可能感染了Pegasus病毒。法医后来证实了这些猜测。她表示，她毫不怀疑卢旺达政府是监视的幕后黑手，她仍对政府下一步可能采取的行动感到恐惧。 她告诉委员会：“他们知道我在做的一切，我在哪里，我和谁说话，我的私人想法和行动，这让我一直保持清醒。除非对滥用这种技术的国家和他们的帮凶有后果，否则我们都不安全。” 网络安全专家称Pegasus是目前商业上最复杂的监控间谍软件之一。它使用“零点击”的漏洞，这意味着它可以感染目标手机而无需用户主动去做诸如点击恶意链接或下载附件的事情。 Citizen Labs的Scott-Railton作证说道：“不是坐在咖啡馆里，连接到不安全的Wi-Fi。你的手机可能在凌晨两点放在你的床头柜上。前一分钟你的手机还是干净的，下一分钟数据就默默地流向一个大陆之外的对手。而你发觉不了任何东西。” 这种通过短信传递的间谍软件以iPhone为目标，其允许使用它的人悄悄地访问从设备的通话和短信到加密的聊天记录和设备的摄像头等一切信息。此后，苹果修补了这个被利用的软件漏洞。 Scott-Railton表示，虽然NSO可能已经将间谍软件卖给了世界各地的数百个政府，但没有办法确定。但根据它被发现的大量地方和在手机上发现它的各种人，很明显，该公司对它卖给谁并不特别在意。他敦促委员会对投资于NSO这样的公司的美国养老基金及作为这类公司的安全庇护所的国家采取行动。 11月，美国政府将NSO列入政府的实体名单从而阻止了向NSO出售美国技术的行为。NSO已经暂停了一些国家的Pegasus特权，但试图为其软件和它试图对其使用的控制进行辩护。 NSO坚持认为，该间谍软件只用于寻求追捕罪犯或恐怖分子的政府。但去年，研究人员开始在属于活动家、人权工作者、记者和商人的手机上发现它的身影。 根据Citizen Labs在7月份的一份报告得出启示–Pegasus感染了至少30名泰国活动家的手机。苹果在11月警告了那些受感染的手机。 为了尝试挫败此类攻击，苹果在iOS 16和即将到来的MacOS Ventura中建立了一个新的锁定模式。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1297825.htm 封面来源于网络，如有侵权请联系删除

近期出现了一个名为 “Robin Banks “的新型网络钓鱼服务（PhaaS）平台，提供现成的网络钓鱼工具包，目标是知名银行和在线服务的客户。 该钓鱼平台的目标包括了花旗银行、美国银行、Capital One、Wells Fargo、PNC、美国银行、劳埃德银行、澳大利亚联邦银行和桑坦德银行等各国知名金融机构。 此外，Robin Banks还提供了窃取微软、谷歌、Netflix和T-Mobile账户的模板。根据IronNet的相关报告显示，Robin Banks已经被部署在6月中旬开始的大规模钓鱼攻击活动中就已经出现了Robin Banks的身影，其通过短信和电子邮件针对受害者进行钓鱼攻击。 Robin Banks是一个网络犯罪集团的新项目，据消息推测至少从2022年3月起该平台就已经开始活动，其目的是为了快速制作高质量、以大型金融组织的客户为目标的钓鱼网页。 该平台提供两种层级的7*24小时服务模板，一种是提供单项目模板，价格为每月50美元；另一个是提供对所有模板的无限访问，价格为每月200美元。 该平台清算网网站的登录屏幕 注册后，威胁者会收到一个个人仪表板，其中包含有关其操作的报告、简易页面创建、钱包管理以及创建自定义钓鱼网站的选项。 Robin Banks仪表板（IronNet） 该平台还为用户提供了一些选项，如添加reCAPTCHA以挫败防护bot，或检查用户代理字符串以阻止特定受害者参与高目标的活动。 选择网络钓鱼的目标银行 (IronNet) IronNet在报告中指出，与16Shop和BulletProftLink相比，Robin Banks网站的webGUI更加复杂，但更具有用户友好性。这两个著名的网络钓鱼工具包也明显比Robin Banks更贵。 另外，新的PhaaS平台不断增加新的模板，并更新旧的模板，以反映目标实体的风格和色彩方案的变化。这些优势使得Robin Banks在网络犯罪领域很受欢迎，在过去几个月里，许多网络犯罪分子都采用了它。 在IronNet上个月发现的攻击活动中，Robin Banks的一个使用者通过短信针对花旗银行的客户，警告他们借记卡的 “异常使用”。 发送给随机目标的网络钓鱼信息（IronNet） 所提供的解除所谓安全限制的链接将受害者带到一个钓鱼网站页面，要求他们输入个人信息。在登陆钓鱼网站后，会自动对受害者的浏览器进行识别，以确定他们是在台式机还是手机上，并加载适当的网页版本。一旦受害者在钓鱼网站的表单字段上输入了所有需要的细节，一个POST请求就会被发送到Robin Banks API，其中包含两个独特的令牌，一个是活动运营商的，一个是受害者的。 转移被盗数据的POST请求(IronNet) 钓鱼网站为受害者填写的每一个网页发送一个POST请求，以尽可能多地窃取细节，因为钓鱼过程可能在任何时候因怀疑或其他原因而停止。所有发送到Robin Banks API的数据都可以从平台的webGUI中查看，供操作员和平台管理员使用。为方便起见，Robin Banks还提供了将被盗信息转发到运营商的个人Telegram频道的选项。 一个新的高质量PhaaS平台的出现对互联网用户是一个不好的消息，因为它促进了低技能的网络犯罪分子的钓鱼行为，并增强了有害信息的轰炸力。为了使互联网用户免受这些恶意企图的影响，IronNet建议千万不要点击通过短信或电子邮件发送的链接，并始终确认登陆的网站是官方的。最后建议用户在自己的所有账户上启用2FA，并使用一个私人电话号码来接收一次性密码。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340362.html 封面来源于网络，如有侵权请联系删除

近期活动极为频繁的Lockbit勒索软件团伙近日又攻击了两处地方政府的设备，分别是加拿大的圣玛丽镇和意大利的税务机构。 圣玛丽斯当地政府相关的说明中解释道，攻击发生在上周三，攻击者锁定了一台内部服务器并加密了其中的数据，在得知这一事件后，工作人员立即采取了措施，以确保任何敏感信息的安全，包括锁定该镇的IT系统和限制对电子邮件的访问。该镇还通知了其法律顾问、斯特拉特福警察局和加拿大网络安全中心，调查此次攻击的来源，并全力消弭此次攻击的影响。当地的关键服务，包括消防、警察、交通和水/污水处理系统并没有受到该攻击事件的影响，但目前还不清楚是否有敏感数据在攻击中被盗。 不过意大利的被害情况却不容乐观，据报道，意大利的税收机构遭到Lockbit勒索软件的攻击导致78GB的数据被盗。黑客的攻击目标是意大利当地税收机构，所以这些数据理论上有非常高的可能性是包含高度敏感的个人和财务信息。 据当地的安莎通讯社报道，税务局已经要求意大利的有关机构调查报告，据相关消息透露，攻击者要求当地税务局在5天内缴纳赎金，否则将有被盗文件内容被公开。 针对这两起公共部门攻击事件，Adarma公司的威胁顾问Mike Varley认为，公共部门的组织往往更容易成为攻击的目标，因为黑客认为他们更有可能付钱。Mike Varley补充说：“寻求提高其整体勒索软件弹性的组织应该主动问自己，我们在哪里最容易受到外部威胁？’我们在保护什么？以及这些资产放在哪里？安全团队需要积极寻找控制方面的差距，并通过调整现有的控制措施、技术收购、进行额外的监测等多种方式来弥补这些差距。” 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340268.html 封面来源于网络，如有侵权请联系删除

据Bleeping Computer网站7月26日消息，微软 365 Defender 研究团队在当天公布的一项研究调查中表示，攻击者正越来越多地使用恶意 Internet 信息服务 (IIS) Web 服务器扩展，对未打补丁的 Exchange 服务器部署后门。 与Web Shell相比，利用IIS 扩展能让后门更加隐蔽，通常很难检测到其安装的确切位置，并且使用与合法模块相同的结构，为攻击者提供了近乎完美的持久性机制。 根据微软 365 Defender 研究团队的说法，在大多数情况下检测到的实际后门逻辑很少，如果不更广泛地了解合法 IIS 扩展的工作原理，就不能将其视为恶意进程，这也使得确定感染源变得更加困难。 对受感染服务器的持续访问 在利用托管应用程序中各种未修补的安全漏洞攻击服务器后，攻击者通常会在 Web Shell中 先部署一个有效负载，并在随后部署 IIS 模块以提供对被黑服务器更隐蔽和持久的访问。微软之前曾注意到攻击者利用ZOHO ManageEngine ADSelfService Plus和SolarWinds Orion漏洞后部署了自定义 IIS 后门。随后，恶意 IIS 模块允许攻击者从系统内存中获取凭证，从受害者的网络和受感染设备收集信息，并提供更多有效负载。 在今年1月至5月期间针对 Microsoft Exchange 服务器的活动中，微软注意到攻击者在文件夹 C:\inetpub\wwwroot\bin\ 中安装了一个名为 FinanceSvcModel.dll 的自定义 IIS 后门，以此来访问受害者的电子邮件邮箱、远程运行命令并窃取凭证和机密数据。 作为 IIS 处理程序安装的 IIS 后门示例 此外，卡巴斯基也曾注意到了类似的情况，去年 12 月，一个名为Owowa的恶意 IIS Web 服务器模块被用于针对东南亚和欧洲的政府组织和公共交通公司。卡巴斯基当时表示，一旦进入受害者的系统，攻击者就可以访问公司电子邮件，通过安装其他类型的恶意软件，秘密管理受感染的服务器来实施更进一步的恶意访问，并将这些服务器用作恶意基础设施。 为防御使用恶意 IIS 模块的攻击，微软建议用户保持 Exchange 服务器处于最新状态，在保持反恶意软件等防护程序开启的同时，检查敏感角色和组，限制对 IIS 虚拟目录的访问，确定告警的优先级并检查配置文件和 bin 文件夹。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340245.html 封面来源于网络，如有侵权请联系删除

反病毒厂商卡巴斯基的一支安全威胁研究团队近日发现了名为“CosmicStrand”的恶意程序。事实上，这款恶意程序并不是新病毒，而且曾在 2016-2017 年爆发“Spy Shadow”木马的更早版本。目前在华硕和技嘉的固件中发现了这款 UEFI 恶意程序，即使重新安装 Windows 系统也无法移除这款 UEFI 恶意程序。 卡巴斯基表示现阶段只有 Windows 系统受到攻击：“现阶段发现的所有攻击设备都运行 Windows 系统：每次电脑重启，在 Windows 重启之后将会执行一段恶意代码。该代码的目的是连接到 C2（命令和控制）服务器，并下载额外可执行的恶意程序”。 卡巴斯基在深度剖析 Securelist 文章中，对该恶意程序的运行机制进行了详细的描述： 工作流程包括连续设置钩子，使恶意代码持续到OS启动后。涉及的步骤是： 1. 整个链条的起始是感染固件引导 2. 该恶意软件在启动管理器中设置了恶意钩，允许在执行Windows的内核加载程序之前修改它。 3. 通过篡改OS加载器，攻击者可以在Windows内核的功能中设置另一个钩子。 4. 当后来在OS的正常启动过程中调用该功能时，恶意软件最后一次控制执行流程。 5. 它在内存中部署了一个壳牌码，并与C2服务器联系以检索实际的恶意有效载荷以在受害者的机器上运行。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1297309.htm 封面来源于网络，如有侵权请联系删除

黑客论坛上发布了一个用Rust编码的信息窃取恶意软件源代码，安全分析师警告，该恶意软件已被积极用于攻击。 该恶意软件的开发者称，仅用6个小时就开发完成，相当隐蔽，VirusTotal的检测率约为22%。 恶意软件开发者在一个暗网论坛上公布源代码 信息窃取恶意软件采用Rust（一种跨平台语言）编写的，可在多个操作系统使用。从其当前的使用范围看，它目前只针对Windows操作系统。但它采用Rust编写意味着将其移植到Linux或macOS并不复杂，所以原开发者或其他人可能在未来进行改写。 网络安全公司Cyble的分析师对该信息窃取软件进行了采样，并将其命名为 “Luca Stealer”。 采样报告显示，Luca Stealer具有明显的恶意功能，当执行时，它试图从30个基于Chromium的网络浏览器中窃取数据，它将窃取存储的信用卡、登录凭证和cookies等信息；它还针对”加密货币、浏览器钱包插件、Steam账户、Discord代币、Ubisoft Play等。 针对浏览器扩展程序 与其他信息窃取软件相比，Luca Stealer是密码管理器浏览器插件，可以窃取此类插件储存在本地的数据。它还会捕捉屏幕截图，将其保存为.png文件，执行 “whoami”对主机系统进行剖析，并将细节发送给其运营商。 收集主机系统信息 但Luca Stealer并不具备其他信息窃取软件都拥有的修改剪贴板内容功能，该功能可以劫持加密货币交易的剪切器。 Cyble分析师介绍，被盗数据通过Discord webhooks或Telegram bots渗出，具体取决于渗出的文件是否超过50MB。它使用Discord webhook将数据发回给攻击者，以获取更大的被盗数据日志。 被盗的数据压缩在ZIP文档中，并附有所包含内容的摘要，方便窃密者快速评估数据价值。 ZIP文件发送的被盗文件摘要 Cyble报告称，目前发现了至少25例Luca Stealer的在野利用，虽然源代码已被公布，但它是否会大规模部署还不得而知。但由于其源代码是免费公布，可能成为其滥用原因之一。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340119.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： Drupal开发团队发布了安全更新来修复多个问题，其中包括关键的代码执行漏洞。 Drupal core – 中度严重 – 多个漏洞 – SA-CORE-2022-015 Drupal core – 严重– 任意PHP代码执行 – SA-CORE-2022-014 Drupal core – 中度严重 – 访问绕过 – SA-CORE-2022-013 Drupal core – 中度严重 – 信息泄露 – SA-CORE-2022-012 美国网络安全和基础设施安全局针对上述漏洞发布了一份公告。 最严重的一个是跟踪为CVE-2022-25277的任意PHP代码执行。 “Drupal core在上传时会清理带有危险扩展名的文件名（参考：SA-CORE-2020-012），并从文件名中删除前导点和尾随点，以防止上传服务器配置文件（参考：SA-CORE-2019-010）。公告中写道。“但是，之前对这两个漏洞的保护并没有正常工作。因此，如果将站点配置为允许上传带有htaccess扩展名的文件，这些文件的文件名将无法得到正确清理。这也可能允许绕过Drupal core的默认.htaccess文件提供的保护，以及在Apache Web服务器上远程执行代码。” 为了缓解此问题，域管理员必须将文件字段显式配置为允许 htaccess 作为扩展名（受限权限），或作为覆盖允许的文件上载的模块或自定义代码。这个漏洞影响了9.4和9.3版本，公告指出，该问题只影响具有特定配置的Apache web服务器。 其他三个漏洞被评为“中度严重”，可能导致跨站点脚本攻击、信息泄露或访问绕过。 所有问题都会影响9.4和9.3版本，但信息泄露漏洞也会影响版本7。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

新浪科技讯 北京时间7月25日早间消息，据报道，2016年，美国网约车平台Uber发生了黑客攻击事件，导致5700万用户和司机的个人数据受到影响。日前，该公司和美国检方达成和解协议，Uber宣布为这次事件承担责任，作为交换，该公司也避免了检方的刑事罪名指控。 在这份双方达成的不指控协议中，Uber承认，在2016年11月的黑客袭击事件发生后，工作人员并未及时向美国证券交易委员会报告情况，而证交会之前一直在调查Uber的数据安全问题。 美国加州旧金山的检察官西兹（Stephanie Hinds）介绍说，在黑客袭击事件发生一年之后，Uber才向监管部门报告了情况。在对外报告之前，该公司调整了管理层，新管理层更加强调职业道德和合规经营。 这位检察官表示，之所以决定不对Uber提出刑事指控，主要考虑到两个情况，一是Uber现任管理层在积极调查和信息披露上的表现，二是Uber在2018年和美国联邦贸易委员会签署了一个长达20年的协议，公司承诺实施全方位的用户隐私保护计划。 据悉，检方仍将对Uber当时担任网络安全一把手的高管苏利文（Stephanie Hinds ）提出控罪，罪名有关他在隐瞒黑客攻击事件中所扮演的角色。在对这位前高管的指控中，Uber也向检方提供了配合。 对于这一报道，Uber并未发表评论。 苏利文最早遭到检方指控是在2020年9月。检方指出，苏利文做出决定，向黑客支付10万比特币的封口费，并且让黑客签署保密协议，黑客在协议中谎称，并未窃取Uber任何数据。 在网络安全方面，Uber很早之前就推出了一个“有奖捉虫”计划，对发现公司系统漏洞的外部安全研究人员提供奖励，不过这一计划并不包括向黑客支付费用，掩盖数据盗窃事件。 之前，美国50个州和华盛顿特区的检方也对Uber迟报黑客攻击事件的问题展开调查，在2018年9月，Uber一共赔付1.48亿美元，和这些州的检方达成了和解协议。 上周五，Uber股价小幅下跌。上述的检方不指控协议是在美国股市收盘后宣布的。 转自 新浪科技，原文链接：https://finance.sina.com.cn/tech/it/2022-07-25/doc-imizmscv3384660.shtml 封面来源于网络，如有侵权请联系删除